1. 什么是APT？

APT（Advanced Persistent Threat）是指高級持續(xù)性威脅，本質是針對性攻擊。 利用先進的攻擊手段對特定目標進行長期持續(xù)性網絡攻擊的攻擊形式，APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現(xiàn)在APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務流程和目標系統(tǒng)進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，并利用零日漏洞進行攻擊。以竊取核心資料為目的，針對和客戶所發(fā)動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度隱蔽性。

APT攻擊是一類針對企業(yè)和政府重要信息資產的，對信息系統(tǒng)可用性、可靠性構成極大挑戰(zhàn)的信息安全威脅。APT變化多端、效果顯著且難于防范，因此，漸漸成為網絡滲透和系統(tǒng)攻擊的演進趨勢，近來備受網絡安全研究者關注。APT一般受國家或大型組織操控，受國家利益或經濟利益驅使，由具有豐富經驗的黑客團伙實施，具有技術性強、持續(xù)時間長、危害性較大等特點，是近年來出現(xiàn)的新型綜合性網絡攻擊手段。
?

2. APT 的攻擊過程？

APT攻擊可以大致分為探測期、入侵期、潛伏期、退出期4個階段，這4個階段通常是循序漸進的

1. 探測期：信息收集

探測期是APT攻擊者收集目標信息的階段。攻擊者使用技術和社會工程學手段收集大量關于系統(tǒng)業(yè)務流程和使用情況等關鍵信息，通過網絡流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析，得出系統(tǒng)可能存在的安全弱點。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計劃等，用于在下一階段實施精確攻擊。

2. 入侵期：初始攻擊，命令和控制

攻擊者突破安全防線的方法可謂五花八門，如采用誘騙手段將正常網址請求重定向至惡意站點，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠程協(xié)助為名在后臺運行惡意程序，或者直接向目標網站進行SQL注入攻擊等。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務器、網絡設備的控制權。（在受害者的網絡植入遠程管理軟件，創(chuàng)建秘密訪問其設備的網絡后門和隧道；利用漏洞和密碼破解來獲取受害者計算機的管理員權限，甚至是Windows域管理員賬號。）

3. 潛伏期，后續(xù)攻擊，橫向滲透，資料回傳

攻擊者成功入侵目標網絡后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下尋找實施進一步行動的最佳時機。（攻擊者利用已控的目標計算機作為跳板，在內部網絡搜索目標信息。）當接收到特定指令，或者檢測到環(huán)境參數(shù)滿足一定條件時，惡意程序開始執(zhí)行預期的動作，（最初是內部偵察，在周邊有信任關系的設備或Windows域內收集信息）取決于攻擊者的真正目的，APT將數(shù)據(jù)通過加密通道向外發(fā)送，或是破壞應用服務并阻止恢復，令受害者承受極大損失。（攻擊者擴展到對工作站、服務器等設備的控制，在之上進行信息收集）。 資料竊取階段，攻擊者通過跳板訪問關鍵服務器，在利用0day漏洞等方式攻擊服務器，竊取有用信息。然后將竊取道德數(shù)據(jù)，應用、文件、郵件等資源回傳，攻擊者會將這些資源重新分割成細小的碎片逐步以不同的時間周期穿給自己。

4. 退出期：清理痕跡

以竊取信息為目的的APT類攻擊一旦完成任務，用戶端惡意程序便失去了使用價值；以破壞為目的的APT類攻擊得手后即暴露了其存在。這兩種情況中為了避免受害者推斷出攻擊的來源，APT代碼需要對其在目標網絡中存留的痕跡進行銷毀，這個過程可以稱之為APT的退出。APT根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機進行狀態(tài)還原，并恢復網絡配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責任認定難以進行
?

3. 詳細說明APT的防御技術

防范方式：

使用威脅情報。這包括APT操作者的最新信息；從分析惡意軟件獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業(yè)銷售，并由行業(yè)網絡安全組共享。企業(yè)必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。
建立強大的出口規(guī)則。除網絡流量（必須通過代理服務器）外，阻止企業(yè)的所有出站流量，阻止所有數(shù)據(jù)共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協(xié)議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數(shù)據(jù)滲出網絡。
收集強大的日志分析。企業(yè)應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。
聘請安全分析師。安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

防御之道：

傳統(tǒng)的安全技術對于APT攻擊顯得無能為力，當前的主要解決思路：

基于未知文件行為檢測的方法。一般通過沙箱技術罪惡意程序進行模擬執(zhí)行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。
基于終端應用監(jiān)控的方法，一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。
基于大數(shù)據(jù)分析的方法，通過網路取證，將大數(shù)據(jù)分析技術和沙箱技術結合全面分析APT攻擊。
涉及到的關鍵技術：

URL異常檢測：

URL異常檢測，深度分析URL內User-Agent字段以及HTTP狀態(tài)碼來判斷網站是否異常，以及網站中是否有惡意文件的下載鏈接，

Email異常檢測：

Email異常檢測，通過對郵件的包頭，發(fā)件人和郵件內附件或者鏈接檢查，分析是否有惡意軟件或鏈接存在。

沙箱檢測技術：

沙箱檢測技術，模擬Linux、Windows，Android環(huán)境，將可以文件放在沙箱離模擬運行，通過自動觀測、自動分析、自動警告發(fā)現(xiàn)未知威脅。沙箱同時又叫做沙盤，是一種APT 攻擊 核心防御技術，該技術在應用時能夠創(chuàng)造一種 模擬化的環(huán)境來隔離本地系統(tǒng)中的注冊表、內存以及對象，而實施系統(tǒng)訪問、文件觀察等可以通過虛擬環(huán)境來實施操作，同時沙箱能夠利用定向技術在特定文件夾當中定向進行文件的 修改和生成，防止出現(xiàn)修改核心數(shù)據(jù)和真實注冊表的現(xiàn)象，一旦系統(tǒng)受到APT 攻擊，實現(xiàn)的虛擬環(huán)境能夠對特征碼實施觀察和分析，從而將攻擊進行有效的防御。在實際應用過程中， 沙箱技術能夠充分發(fā)揮防御作用，但是由于其消耗本地資料過多，導致工作處理過程周期過長，對此要進一步加強其應用效率的提升，從而有效區(qū)分和處理軟件與文件，有效提升自身的應用效率，充分防御來自于外界的APT攻擊。

信譽技術：

信譽技術，安全信譽主要是評估互聯(lián)網資源和有關服務主體在安全性能方面的指數(shù)和表現(xiàn)，而信譽技術在應用過程中能夠以一種輔助的方式來檢測APT 攻擊，并針對性建設信譽數(shù)據(jù)庫，其中包括威脅情報庫、僵尸網絡地址庫、文件 MD5 碼庫以及WEB URL 信譽庫，能夠作為輔助支撐技術幫助系統(tǒng)提升檢測APT 攻擊， 比如常見的木馬病毒和新型病毒等，一旦遇到不良信譽資源能夠利用網絡安全設備進行過濾和阻斷。在此過程中，信譽庫能夠充分發(fā)揮自 身優(yōu)勢，有效保護系統(tǒng)相關數(shù)據(jù)和信息，提升 安全產品的安全防護指數(shù)，依照實際情況來分析，信譽技術已經廣泛應用到網絡類安全產品當中，并且通過安全信譽評估策略服務和信譽過濾器等功能為信息系統(tǒng)的安全提供有效保 障。

異常流量分析技術：

異常流量分析技術，異常流量分析技術在應用過程中主要以一種流量檢測方式和分析方式對有關流量信息實施提取，并且針對其中的帶寬占用、CPU/ RAM、物理路徑、IP 路由、標志位、端口、 協(xié)議、幀長、幀數(shù)等實施有效的監(jiān)視和檢測，并且融入節(jié)點、拓撲和時間等分析手段來統(tǒng)計 流量異常、流量行為等可能出現(xiàn)的異常信息， 從而依照分析的結果和數(shù)據(jù)來對可能出現(xiàn)的 0 DAY 漏洞攻擊進行準確識別。同時，異常流量分析技術進一步融入了機器學習技術和統(tǒng)計學技術，能夠以科學化、合理化的方式來對模型實施建立。與傳統(tǒng)的網絡防御技術相比，異常流量分析技術能夠充分發(fā)揮自身優(yōu)勢，以一 種數(shù)據(jù)采集機制來保護原有系統(tǒng)，并且對出現(xiàn)的異常行為進行有效的追蹤，分析歷史流量數(shù)據(jù)，從而有效確定異常流量點，最終起到防御APT攻擊的目的。

大數(shù)據(jù)分析技術：

大數(shù)據(jù)分析技術在防御APT 攻擊時，要充分發(fā)揮大數(shù)據(jù)分析技術的優(yōu)勢，針對網絡系統(tǒng)中出現(xiàn)的日志 數(shù)據(jù)和SOC安全管理平臺中出現(xiàn)的日志數(shù)據(jù)， 利用大數(shù)據(jù)分析技術能夠實施有效的分析和研 究，并通過態(tài)勢分析、數(shù)據(jù)挖掘、數(shù)據(jù)統(tǒng)計技術，對大量歷史數(shù)據(jù)進行分析，獲取其中存在的 APT 攻擊痕跡，從而以一種彌補方式來對 傳統(tǒng)安全防御技術實施加強。同時，大數(shù)據(jù)分析技術要想發(fā)揮自身作用，需要提升自身數(shù)據(jù)分析和數(shù)據(jù)采集能力，并積極融合全自動相應系統(tǒng)，從而快速監(jiān)控不同區(qū)域中的數(shù)據(jù)信息， 改變出現(xiàn)的信息孤島所導致的調查分析問題。

4. 什么是對稱加密？

對稱加密又叫做私鑰加密，即信息的發(fā)送方和接收方使用同一個密鑰去加密和解密數(shù)據(jù)。對稱加密的特點是算法公開、加密和解密速度快，適合于對大數(shù)據(jù)量進行加密。

加密過程如下：明文 + 加密算法 + 私鑰 => 密文
解密過程如下：密文 + 解密算法 + 私鑰 => 明文

對稱加密中用到的密鑰叫做私鑰，私鑰表示個人私有的密鑰，即該密鑰不能被泄露。 其加密過程中的私鑰與解密過程中用到的私鑰是同一個密鑰，這也是稱加密之所以稱之為“對稱”的原因。由于對稱加密的算法是公開的，所以一旦私鑰被泄露，那么密文就很容易被破解，所以對稱加密的缺點是密鑰安全管理困難。

如果你不是很理解，就看這個通俗易懂的例子：

甲對乙說，我這有一把鎖，以后我們互相傳消息，就把消息放盒子里，然后用這個鎖鎖上再傳，這個鎖有兩把一模一樣的鑰匙，咱倆一人一把，說完甲把鑰匙遞給了乙。

5. 什么是非對稱加密？

非對稱加密也叫做公鑰加密。非對稱加密與對稱加密相比，其安全性更好。對稱加密的通信雙方使用相同的密鑰，如果一方的密鑰遭泄露，那么整個通信就會被破解。而非對稱加密使用一對密鑰，即公鑰和私鑰，且二者成對出現(xiàn)。私鑰被自己保存，不能對外泄露。公鑰指的是公共的密鑰，任何人都可以獲得該密鑰。用公鑰或私鑰中的任何一個進行加密，用另一個進行解密。

被公鑰加密過的密文只能被私鑰解密，過程如下：
明文 + 加密算法 + 公鑰 => 密文， 密文 + 解密算法 + 私鑰 => 明文

由于加密和解密使用了兩個不同的密鑰，這就是非對稱加密“非對稱”的原因。非對稱加密的缺點是加密和解密花費時間長、速度慢，只適合對少量數(shù)據(jù)進行加密。

如果你不是很理解，就看這個通俗易懂的例子：

甲對乙說，我這里有A型號鎖，對應鑰匙A，我給你一大箱子A鎖，但是鑰匙A不給你，以后你給我發(fā)消息就用A鎖鎖在盒子里給我，然后我自己用鑰匙A就能打開看。
乙對甲說，我這里有B型號鎖，對應鑰匙B，我給你一大箱子B鎖，但是鑰匙B不給你，以后你給我發(fā)消息就用B鎖鎖在盒子里給我，然后我自己用鑰匙B就能打開看。

6. 私密性的密碼學應用？

私密性是密碼學中的一個基本概念，它指的是確保只有授權的用戶才能訪問加密數(shù)據(jù)。以下是一些私密性的密碼學應用：

對稱加密算法：對稱加密算法使用相同的密鑰對數(shù)據(jù)進行加密和解密，可以確保加密數(shù)據(jù)只能被知道密鑰的用戶解密。常見的對稱加密算法包括AES、DES、3DES等。

非對稱加密算法：非對稱加密算法使用不同的密鑰對數(shù)據(jù)進行加密和解密，其中一個密鑰是公開的（公鑰），而另一個密鑰是私有的（私鑰）。這種算法可以確保加密數(shù)據(jù)只能被知道私鑰的用戶解密。常見的非對稱加密算法包括RSA、ECC等。

散列函數(shù)：散列函數(shù)可以將任意長度的數(shù)據(jù)轉換為固定長度的散列值，這個散列值通常用于驗證數(shù)據(jù)的完整性和真實性。只有知道原始數(shù)據(jù)的用戶才能生成相同的散列值。常見的散列函數(shù)包括MD5、SHA-1、SHA-2等。

數(shù)字簽名：數(shù)字簽名是通過使用私鑰對數(shù)據(jù)進行簽名來驗證其完整性和真實性的一種機制。數(shù)字簽名可以確保數(shù)據(jù)沒有被篡改或者被其他人偽造，只有知道私鑰的用戶才能進行簽名。常見的數(shù)字簽名算法包括RSA、DSA等。

總之，私密性是密碼學中的一個基本概念，可以通過各種密碼學算法來保護數(shù)據(jù)的機密性和完整性。這些算法通常用于保護敏感信息，例如密碼、金融交易數(shù)據(jù)、醫(yī)療保健記錄等。
?

7. 非對稱加密如何解決身份認證問題？

非對稱加密是一種使用不同的密鑰進行加密和解密的加密方式。在非對稱加密中，有一個密鑰是公開的（公鑰），而另一個密鑰是私有的（私鑰）。

非對稱加密可以解決身份驗證的問題，因為只有持有私鑰的用戶才能生成數(shù)字簽名或者解密使用公鑰加密的消息。這種機制可以確保消息的完整性和真實性，因為只有持有私鑰的用戶才能生成數(shù)字簽名。

以下是使用非對稱加密解決身份驗證的一些實際應用：

數(shù)字簽名：數(shù)字簽名是使用私鑰對數(shù)據(jù)進行簽名來驗證其完整性和真實性的一種機制。只有知道私鑰的用戶才能進行簽名，這可以確保簽名是可信的，同時確保數(shù)據(jù)沒有被篡改或者被其他人偽造。數(shù)字簽名常用于身份驗證、電子文檔、金融交易等領域。

SSL/TLS：SSL/TLS協(xié)議使用非對稱加密和對稱加密的組合來確保通信的機密性和完整性。在SSL/TLS握手過程中，服務器會將其公鑰發(fā)送給客戶端，然后客戶端使用該公鑰對會話密鑰進行加密，從而確保只有服務器可以使用其私鑰來解密密鑰。這種機制可以確保通信是安全的，并且服務器的身份是可信的。

SSH：SSH協(xié)議使用非對稱加密和對稱加密的組合來確保遠程登錄的機密性和完整性。在SSH握手過程中，服務器會將其公鑰發(fā)送給客戶端，然后客戶端使用該公鑰對會話密鑰進行加密，從而確保只有服務器可以使用其私鑰來解密密鑰。這種機制可以確保通信是安全的，并且服務器的身份是可信的。

總之，非對稱加密可以使用數(shù)字簽名、SSL/TLS、SSH等機制來解決身份驗證的問題，確保通信是安全的，并且服務器的身份是可信的。
?

8. 如何解決公鑰身份認證問題？

公鑰身份認證是一種使用數(shù)字證書進行身份驗證的機制，其中數(shù)字證書是由數(shù)字證書頒發(fā)機構（CA）簽發(fā)的，證明了證書中公鑰的所有者的身份。

在使用公鑰身份認證時，需要確保證書的真實性和可信度。以下是一些解決公鑰身份認證問題的方法：

使用受信任的證書頒發(fā)機構：為了確保數(shù)字證書的真實性和可信度，可以使用被廣泛信任的證書頒發(fā)機構（CA）簽發(fā)的證書。這些CA已經通過了嚴格的安全審核，并獲得了廣泛的信任。

使用證書撤銷列表（CRL）：如果證書失效或被撤銷，CRL是一種機制，它記錄了所有已撤銷的證書的信息?？梢允褂肅RL來檢查數(shù)字證書的狀態(tài)，以確保其仍然有效。

使用在線證書狀態(tài)協(xié)議（OCSP）：OCSP是一種在線協(xié)議，它允許應用程序向證書頒發(fā)機構查詢證書的狀態(tài)?？梢允褂肙CSP來檢查數(shù)字證書的狀態(tài)，以確保其仍然有效。

使用雙因素認證：雙因素身份認證需要使用兩種或以上的身份驗證機制來驗證用戶的身份。例如，使用數(shù)字證書和用戶密碼的組合來進行身份驗證，可以增加身份認證的安全性。
?

9. 簡述SSL工作過程

SSL（Secure Sockets Layer）是一種用于保護數(shù)據(jù)傳輸安全的協(xié)議，現(xiàn)在已經被TLS（Transport Layer Security）取代。以下是SSL的工作過程：

握手階段：客戶端向服務器發(fā)送一個握手請求，其中包括一個加密套件列表、協(xié)議版本等信息。服務器在加密套件列表中選擇一種加密方式，并發(fā)送一個數(shù)字證書，該證書包含了服務器的公鑰和服務器的身份信息?？蛻舳耸褂脭?shù)字證書驗證服務器的身份，并生成一個隨機數(shù)（Client Random）?？蛻舳诉€會生成一個用于加密會話密鑰的密鑰，稱為“會話密鑰”，并使用服務器的公鑰進行加密，然后將該密鑰發(fā)送給服務器。

密鑰交換階段：服務器使用自己的私鑰解密客戶端發(fā)送的會話密鑰，并使用該密鑰生成一個對稱加密算法所需的密鑰。服務器還會生成一個隨機數(shù)（Server Random），然后將這些信息使用約定的加密算法加密后發(fā)送給客戶端。

數(shù)據(jù)傳輸階段：客戶端和服務器使用協(xié)商的加密套件和對稱加密密鑰對數(shù)據(jù)進行加密和解密，然后在網絡上進行傳輸。在每個數(shù)據(jù)包中，都會包含一個消息認證碼（MAC），以確保數(shù)據(jù)完整性和身份驗證。

終止階段：會話結束時，客戶端和服務器會互相通知，并銷毀會話密鑰。如果需要建立新的會話，將重新進行握手階段。

總之，SSL使用公鑰加密算法來驗證服務器的身份，并使用對稱加密算法保護數(shù)據(jù)的機密性和完整性。在SSL的工作過程中，握手階段、密鑰交換階段、數(shù)據(jù)傳輸階段和終止階段分別起著重要的作用。
?文章來源地址http://www.zghlxwxcb.cn/news/detail-733930.html

到了這里，關于安全防御—APT與密碼學的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！